Arvika kommunes vei til et sikkert digitalt miljø i skolene Norsk

Arvika kommune har brukt Google Workspace for Education siden 2008. Opprinnelig for at lærere skulle få tilgang til en god e-postløsning. Samtidig ble det innsett at det også kunne være et fremtidig behov for studentene fordi Google inneholdt flere andre verktøy som hadde stort potensiale for å bli brukt i klasserommet. I 2012-2013 begynte studentene å få tilgang til sin egen datamaskin i skolen, og flere av Googles verktøy ble introdusert i undervisningen. Behovet for en sikkerhetsanalyse ble tydeligere, særlig siden den generelle Personvernforordningen, GDPR, ble tatt i bruk 25. mai 2018. I tillegg kan en ikke unngå kapittel 10 i  Lov om informasjon og hemmelighold. Privacy Shield. Cloud Act. Schrems II.

Behov for en kontinuitetsanalyse

Det ble gjennomført en kontinuitetsanalyse som inkluderte drift, sårbarhet, identitet og informasjonsflyt i alle kommunens digitale miljøer. Analysearbeidet indikerer at det er potensiale for forbedring når det gjelder håndtering, av for eksempel personopplysninger, personvernfølsom informasjon og klassifisert informasjon. Kommunikasjon kan foregå på en usikker måte, kunnskapen og den konseptuelle forståelsen av hva det vil si å sende informasjon innenfor domenet og utenfor domenet, må utvikles.

Noen viktige føringer som leder arbeidet videre

For å komme videre i sikkerhetsarbeidet, må kommunen utføre noen prinsipielle føringer. Det er urimelig for noen få mennesker i en liten värmländsk kommune i tynt befolkede områder å løse problemene som blant annet har med lagring av data i forskjellige regioner å gjøre. Dette er først og fremst et spørsmål som EU og USA må løse. Samtidig står kommunen i et veikryss mellom ulik lovgivning om informasjon og datasikkerhet, noe som indikerer at viss håndtering av data kan være ulovlig. På den annen side er det skolelover, læreplaner og styrende dokumenter som sier at skolen må digitaliseres. Kommunen tar derfor følgende føringer:

  • lover og retningslinjer er inkompatible
  • de antar at EU og USA vil finne en løsning
  • de er forberedt på å ta risikoen for å bryte regelverket
  • Kapittel 10 i offentlighetsloven om informasjon og hemmelighold vil neppe slå til
  • Uten disse føringene er det eneste alternativet for kommunene å gå ut av sine digitale miljøer og begynne å bruke papir og penn igjen.

Med kunnskapen om at det er en minimal risiko for at kapittel 10 i offentlighetsloven om informasjon og hemmelighold vil så til, velger kommunen å fortsette arbeidet med å skape en sikkerhetsbevisst organisasjon. Når EU og USA har løst problemene, vil Arvika kommune være i forkant.

Ansett en sertifisert Google-partner

En viktig nøkkel til Arvika kommunes vellykkede arbeid er at de startet et samarbeid med en sertifisert Google Partner på et tidlig tidspunkt. Kommunens egen organisasjon er for liten til å opprettholde den spesialistkompetansen som trengs for å kunne utføre arbeidet. Takket være samarbeidet med Online Partner har du eksklusiv tilgang til ekspertkunnskap om Google og sikkerhet, noe som betyr at du raskt kan få svar på spørsmål og support på jobben. I tillegg er arbeidet formalisert på en måte som gjør det til et gjensidig ansvar for å oppfylle sine forpliktelser. Arbeidet blir mer effektivt, for eksempel takket være planlagte avstemminger.

Hvordan lage en sikkerhetsbevisst organisasjon?

Å skape en sikkerhetsbevisst organisasjon handler hovedsakelig om teknologi, pedagogikk og utdanning. I Arvika kommunes prosjekt er den tekniske delen estimert til å være ca 10%. Resten er pedagogikk og å utvikle brukernes ferdigheter rundt data og informasjonssikkerhet. Sammen bidrar det til å skape en kultur der man ”tenker på informasjonssikkerhet”.

Google Admin Console

De største endringene i det tekniske miljøet er ikke synlige. De lages bak kulissene, i stor grad via Google Admin Console, der funksjoner som bidrar til et trygt miljø aktiveres / deaktiveres for å lage regler og policyer for brukerne. Her har kommunen fått stor hjelp fra Online Partner for å gjøre riktige justeringer og innstillinger. Google Drive skaper struktur, orden og orden. Noen enheter er låst for å lagre sensitiv informasjon, men ikke dele informasjonen fra enheten. Det handler om å gjøre det vanskeligere for lærere å utilsiktet gjøre feil.

To-faktor autentisering

En annen viktig del av kommunens sikkerhetsarbeid er å innføre tofaktorautentisering ved innlogging. Sikkerhetsnøkkel av Yubico, USB-nøkler for tofaktorautentisering implementeres trinn for trinn for ansatte i barnehagen, grunnskolen, og deretter videregående skole.

Kl. 06.00 hver, mandag, onsdag og fredag ​​logges alle brukere automatisk ut av domenet på alle digitale enheter. For å logge på enhetene sine igjen, bruker personalet sine Yubikey USB-nøkler.

Opplæring

Studenten må alltid være i sentrum, og læreren er ansvarlig for å beskytte studentenes data og sensitiv informasjon. Lærere må kunne stole på at det digitale miljøet er sikkert, at sensitiv informasjon ikke havner i gale hender og at de kan jobbe i miljøet uten å risikere å gjøre utilsiktede feil. Imidlertid er det kjent at lærere ofte føler seg usikre i digitale miljøer, de er redde for å gjøre feil og for mulige konsekvenser. Myter sprer seg om egnetheten til skyløsninger til å lagre sensitiv informasjon. Nettangrep, uklarhet og mangel på rammer og regler. Her er det viktig å forstå at Google-miljøet er så trygt at ingen kan hacke seg inn i det.

For å øke kunnskapsnivået, bevisstheten, bidra til en kulturell endring og en ny måte å jobbe på, må alle brukere gjennomføre to kurs. Den første opplæringen “Tema Sikkerhet” er basert på det svenske Digital informasjonssikkerhetsopplæring for alle, Disa. I tillegg er det en nettbasert grunnopplæring om informasjonssikkerhet via Draftit. Når opplæringen er fullført, kan ansatte motta Yubikey USB-nøkler

“Yubikey-nøkkelen er lærernes sikkerhet. Når lærerne føler sikkerhet, vet de at de kan bruke Google til alt de trenger i undervisningen.”